域中为不同用户设置不同密码策略.docxVIP

如何设置域用户PSO密码策略 2010-06-17 11:23:09 标签： HYPERLINK /tagindex.php?keyword=PSO \t _blank PSO  HYPERLINK /tagindex.php?keyword=%C3%DC%C2%EB \t _blank 密码  HYPERLINK /tagindex.php?keyword=%D3%C3%BB%A7 \t _blank 用户  HYPERLINK /tagindex.php?keyword=%C9%E8%D6%C3 \t _blank 设置 原创作品，允许转载，转载时请务必以超链接形式标明文章  HYPERLINK /323260/334051 \t _blank 原始出处 、作者信息和本声明。否则将追究法律责任。 HYPERLINK /323260/334051 /323260/334051 ?????????????? 最近学习windows server 2008，发现无论是管理员帐户，还是域内其它的帐户，均需要满足密码策略，即需要使用大写，小写与数字三种组合的密码。不得不承认，安全性很强，但是对我们公司的普通用户来说，很麻烦。于是想到了使用Password Settings objects (PSO)来将特定的用户密码设置。 ????????????? 比如说一些老总，让他们用这么复杂的密码，肯定不方便，现在说详细说一下如何使用PSO策略来设定域内特定的用户的密码策略。 ????????????? 环境如下： ???????????? 1.DC: windows server 2008 R2 enterprise edition X64.????? ??????????????? name: ??????????????2.test user accout:?  HYPERLINK mailto:test01@ test01@ ???????????? 下面进入正式的实验步骤： ????????????1.登录域DC，新建一个安全的组，名为password，并创建test accout?  HYPERLINK mailto:test01@ test01@，将该帐户加入到password安全组。那我这里设定的密码是大小写和数字组合。我们来尝试一下更改密码为123456，可以看到，不可以更改。 ? ? ? ??????????? 2.使用domain admins帐户组的一个帐号登入到域，我这里用的是administrator，然后依次打开“开始”菜单，在运行中输入adsiedit.msc，然后右键点击connect to连接到域控制器，具体操作见下图。 ? ? ? ??????????? 3.我们依次展开dc=anet,DC=com,选择cn=system这里，将cn=system展开来? ??????????? 4.，找到下面的cn=password Settings Container这是一个密码设置容器，我们右键点击这个container，并选择新建object（对象），弹出新建object的对话框，点击下一步。 ? ? ??????????? 5.在common-name这里随便输入一个名字，我这里写PS01，然后点击下一步； ? ??????????? 6.下面出现msds-passwordSettingsPrecedence,这里必须输入大于0的数字。我这里输入10，这个选项意思是优先级。 ? ??????????? 7.接下来进入msds-passwordReversibleEncryptionEnabled,微软的官方解释意思是Password reversible encryption status for user accounts，中文意思是说帐户密码是否可以可逆加密。输入是或者否，我这里输入FALSE ? ??????????? 8.密码历史长度，输入6； ? ??????????? 9.密码是否需要满足复杂性，这里选择不需要，布尔型，FALSE； ? ???????????? 10.密码最少长度，我这里设置为6个长度。 ? ?????????????? 11.密码有效时间，格式为XX:XX:XX:XX，即天：小时：分：秒，如1：00：00：00表示的是一天；下面的最长时间也是一样的，我这里设置的是60天，也就是俩个月的密码最长有效时间； ? ? ??????????????? 12.密码错误次数将会锁定，这里设置为三次； ? ???????????? 13.下面这个选项，用户多久时间内错误三次会锁定帐户； ????? ???????????? 14.用户帐户